はじめに
このドキュメントでは、IOS®デバイスでの非パッチ可能なトラフィックを伴うダイナミックネットワークアドレス変換(NAT)の予期しない動作について説明します。
問題
ダイナミックNATの場合、非パタブルトラフィックはNAT変換テーブルにハーフエントリを作成します。これらのエントリは外部から内部へのトラフィックに対して機能するため、セキュリティリスクとなります。
NAT の設定
ip nat pool ATT_FIBER 10.10.10.1 10.10.10.6 netmask 255.255.255.248
ip nat inside source list GUEST_SUBNET pool ATT_FIBER overload
ip nat inside source list OFFICE_SUBNETS pool ATT_FIBER overload
ip access-list extended OFFICE_SUBNETS
deny ip 172.16.26.0 0.0.0.127 any
permit ip 172.16.8.0 0.0.1.255 any
ip access-list extended GUEST_SUBNET
permit ip 172.16.26.0 0.0.0.127 any
udp 10.10.10.1:49370 172.16.9.9:49370 192.168.1.1:53 192.168.1.1:53
udp 10.10.10.1:49535 172.16.9.9:49535 192.168.2.2:53 192.168.2.2:53
tcp 10.10.10.1:53133 172.16.9.9:53133 192.168.3.3:80 192.168.3.3:80
tcp 10.10.10.1:56311 172.16.9.9:56311 192.168.4.4:5816 192.168.4.4:5816
--- 10.10.10.1 172.16.9.9 --- ---
ハーフエントリは、inside -> outsideのマッピングがある場合、またはパケットがinside -> outsideから開始された場合に作成されます。
ルータがNATオーバーロード(ポートアドレス変換(PAT))用に設定され、パッチ不可能なトラフィックがルータに到達すると、このトラフィックに対してパッチ不可能なバインドエントリが作成されます。これにより、NATテーブルに次のようなエントリが作成されます。
--- 10.10.10.1 172.16.9.9 --- ---
このバインドエントリは、プールからアドレス全体を消費します。この例では、10.10.10.1は過負荷プールからのアドレスです。
つまり、内部ローカルIPアドレスは、スタティックNATに似た外部グローバルIPにバインドされます。このため、現在のエントリがタイムアウトになるまで、新しい内部ローカルIPアドレスはこのグローバルIPアドレスを使用できません。このバインド用に作成されたすべての変換は、オーバーロードではなく1対1の変換です。
ソリューション
この問題を解決するために、ダイナミックNATでルートマップを使用できます。ルートマップを使用すると、NATはハーフエントリを作成したり、プールオーバーロードの代わりにインターフェイスオーバーロードを使用したりしません。インターフェイスが過負荷の場合、パッチ不可能なバインディングは作成されません。
フィードバック